Многие знают о встроенной возможности шифрования дисков и флешек в Windows 10, 8.1 и Windows 7 как Bitlocker, доступный в профессиональной и корпоративной редакциях ОС. Меньше людей знают о другой функции шифрования файлов и папок — EFS Encrypting File System, которая также встроена в систему.
В этом руководстве о том, как именно работает шифрование EFS, как оно позволяет ограничить доступ к важным файлам и папкам, как восстановить доступ к данным при необходимости и в чем отличия от BitLocker. См. Также: О шифровании дисков и флешек с помощью Bitlocker в Windows, Шифрование файлов, папок, дисков и флешек с помощью VeraCrypt, Как поставить пароль на архив.
Как работает шифрование EFS
EFS позволяет легко зашифровать содержимое выбранных папок или отдельных файлов в системе так, чтобы они были доступны только пользователю и на компьютере, где было произведено шифрование.
Другие пользователи на том же или другом компьютере будут видеть файлы и их имена на диске, но не смогут получить к ним доступ (открыть их), даже если у них есть права администратора.
Этот метод менее безопасен, чем шифрование Bitlocker, но если у вас только домашняя версия Windows 10, 8.1 или Windows 7, и единственная задача — запретить пользователям других учетных записей просматривать содержимое ваших файлов, вполне можно использовать EFS: это будет удобно и быстро.
Как зашифровать папки и файлы в них с помощью EFS
Шаги по шифрованию папки и ее содержимого с помощью шифрующей файловой системы EFS в самом простом виде выглядят следующим образом (доступно только для папок на NTFS дисках и флешках)
- Откройте свойства нужной папки (правый клик — свойства).
- В разделе "Атрибуты" нажмите "Другие".
- В разделе "Атрибуты сжатия и шифрования" следующего окна установите флажок "Шифровать содержимое для защиты данных" и нажмите "OK".
- Нажмите "Ok" в свойствах папки и примените изменения к вложенным файлам и папкам.
- Сразу после этого появится системное приглашение, предлагающее заархивировать ключ шифрования. Нажмите на уведомление.
- Нажмите "Архивировать сейчас" (ключ может понадобиться для восстановления доступа к данным, если вы потеряли учетную запись или доступ к этому компьютеру).
- В результате запустится мастер экспорта сертификатов. Нажмите "Далее" и оставьте значения по умолчанию. Снова нажмите "Далее".
- Установите пароль для сертификата, содержащего ключи шифрования.
- Укажите место хранения файлов и нажмите "Готово". Этот файл будет полезен для восстановления доступа к файлам после сбоя ОС или если вы хотите иметь возможность открывать зашифрованные файлы EFS на другом компьютере или под другим пользователем (как это сделать, смотрите в следующем разделе инструкции).
На этом процесс будет завершен — как только процедура завершится, все файлы в указанной вами папке, как существующие, так и вновь созданные, будут иметь "замок" на значке, указывая на то, что файлы зашифрованы.
При желании можно запустить процесс шифрования, создав и сохранив сертификаты (в том числе на смарт-карте), а затем установить флажок "Шифровать содержимое для защиты данных". Для этого нажмите Win+R, введите rekeywiz и нажмите Enter.
Восстановить доступ к зашифрованным файлам, открыв их на другом компьютере или под другой учетной записью Windows
Если по какой-то причине (например, после переустановки Windows) вы потеряли возможность открывать файлы в зашифрованных EFS папках, или вам нужно открыть их на другом компьютере или под другим пользователем, это легко сделать:
- На компьютере в учетной записи, где вы хотите получить доступ к зашифрованным файлам, откройте файл сертификата.
- Мастер импорта сертификатов открывается автоматически. Для базового сценария достаточно использовать настройки по умолчанию.
- Единственное, что вам потребуется, это ввести пароль для сертификата.
- После успешного импорта, о котором вы получите уведомление, ранее зашифрованные файлы будут открыты на этом компьютере под текущим пользователем.
Различия между шифрующей файловой системой EFS и Bitlocker
Основные различия, связанные с продумыванием различных вариантов шифрования в Windows 10 — Windows 7
- Bitlocker шифрует целые диски (включая системный диск) или разделы диска, в то время как EFS шифрует отдельные файлы и папки. Хотя шифрование Bitlocker может быть применено к виртуальному диску (который будет храниться на компьютере как обычный файл).
- Сертификаты шифрования EFS привязаны к определенной учетной записи Windows и хранятся в системе (ключ также можно экспортировать в виде файла на флешку или записать на смарт-карту).
- Ключи шифрования Bitlocker либо хранятся в аппаратном модуле TPM, либо могут быть сохранены на внешнем диске. Открытый диск с Bitlocker доступен всем пользователям системы, более того, если не использовался TPM, диск может быть легко открыт любым другим компьютером или ноутбуком, просто введя пароль.
- Шифрование папок должно быть включено вручную при использовании EFS (файлы внутри будут шифроваться автоматически). При использовании Bitlocker все на зашифрованном диске шифруется на лету.
С точки зрения безопасности эффективнее использовать Bitlocker. Однако, если вам просто нужно запретить другим пользователям Windows открывать ваши файлы, и вы используете домашнюю версию ОС (где нет Bitlocker) — EFS будет работать и для этого.
Дополнительная информация
Некоторые дополнительные сведения об использовании шифрующей файловой системы EFS в Windows:
- Зашифрованные EFS файлы не защищены от удаления: они могут быть удалены любым человеком на любом компьютере.
- Утилита командной строки cipher присутствует в системе.exe, который позволяет включать и отключать EFS-шифрование для файлов/папок, работать с сертификатами и очищать содержимое зашифрованных папок на жестком диске, перезаписывая информацию случайными байтами.
- Если вам необходимо удалить сертификаты шифрования EFS с вашего компьютера, сделайте это следующим образом: Перейдите в Панель управления — Свойства обозревателя. На вкладке "Содержимое" нажмите на "Сертификаты. Удалите ненужные сертификаты: в их описании внизу окна в поле "Назначение сертификата" будет написано "Encrypting File System (EFS)".
- В том же разделе управления сертификатами в "Свойствах браузера" вы можете экспортировать файл сертификата для использования под другим пользователем или на другом компьютере.